La IA secreta de Cisco ya puede ser «probada» en la darknet; al parecer, hackers sabotearon su lanzamiento oficial.
Ataque a Cisco: qué se sabe y qué tiene que ver un popular escáner de vulnerabilidades
La agrupación de hackers ShinyHunters afirmó haber accedido a los sistemas internos de Cisco y robado millones de registros con información personal.
El 31 de marzo los atacantes publicaron en su sitio en la dark web demandas dirigidas a Cisco Systems. Si la compañía no cumple las condiciones antes del 3 de abril, los hackers prometen causar «varios problemas digitales desagradables». Según ellos, se trata de más de 3 millones de registros del sistema de gestión de clientes Salesforce, así como de datos de repositorios de GitHub, del almacenamiento en la nube Amazon Web Services y de otros servicios internos.
ShinyHunters afirma haber recopilado información de tres fuentes a la vez: un ataque mediante vishing, vulnerabilidades en la interfaz Salesforce Aura y cuentas de AWS comprometidas. Como prueba, el grupo publicó dos capturas de pantalla.
En una de las imágenes se muestra la consola de discos en la nube de AWS con decenas de volúmenes virtuales. Muchos de ellos, según la etiqueta, contienen cientos de gigabytes de datos. En total se ven cinco páginas, lo que puede indicar más de un centenar de estos almacenes. Las fechas de creación de algunos discos son el 16 y 17 de marzo de 2026, lo que sugiere un acceso reciente.
La segunda captura muestra la lista de almacenes S3 que supuestamente pertenecen a Cisco. Los nombres sí recuerdan a la estructura interna de la empresa, pero los datos no se han publicado todavía, por lo que no es posible confirmar la filtración de forma directa.
Al mismo tiempo, los medios informaron sobre un posible ataque a Cisco mediante la compromisión de la cadena de suministro. Se trata de la herramienta Trivy, un popular escáner de vulnerabilidades. Según estas informaciones, los atacantes obtuvieron claves de acceso a AWS y copiaron más de 300 repositorios de GitHub, incluido el código fuente de proyectos de inteligencia artificial que aún no se habían presentado al público.
Parte de los repositorios robados, según afirman, pertenecen a clientes de Cisco: entre ellos bancos, empresas de externalización y organismos gubernamentales de Estados Unidos. El equipo de Cybernews considera que ambos comunicados describen el mismo incidente. No obstante, de momento no hay pruebas directas: ShinyHunters no ha publicado los datos.
Si la información se confirma, las consecuencias podrían ser graves. La filtración de datos personales abre la puerta al fraude y a ataques de ingeniería social, y el acceso a los sistemas internos de los clientes podría usarse para preparar nuevos ataques.
Uno de los episodios a los que hacen referencia los hackers ya es conocido. En el verano de 2025 un empleado de Cisco fue engañado mediante vishing. En esa ocasión el atacante obtuvo acceso a parte de los perfiles en el sistema de gestión de clientes en la nube. La compañía afirmó que los datos confidenciales de los clientes no se vieron afectados.
Sin embargo, la situación con Trivy es más reciente. El 19 de marzo el grupo TeamPCP introdujo código malicioso en el script automático trivy-action, que los desarrolladores utilizan para comprobar programas en busca de vulnerabilidades. Ese ataque afectó a muchos proyectos dependientes, incluidas herramientas para trabajar con inteligencia artificial.
Si la versión del hackeo a Cisco se confirma, podría tratarse de un caso raro de colaboración entre dos notorias bandas de ciberdelincuencia: ShinyHunters y TeamPCP. La primera es conocida por robos de datos y extorsiones desde 2019. La segunda apareció recientemente, a finales de 2025, y se ha centrado en ataques a través de repositorios abiertos populares.